フィッシング報告件数
2023 年 3 月にフィッシング対策協議会に寄せられたフィッシング報告件数 (海外含む) は、前月より 18,012 件増加し、77,056 件となりました。
2023 年 3 月のフィッシングサイトの URL 件数 (重複なし) は、前月より 4,349 件増加し、14,343 件となりました。
2023 年 3 月のフィッシングに悪用されたブランド件数 (海外含む) は、前月より 21 件増加し、110 件となりました。
2023 年 3 月のフィッシング報告件数は 77,056 件となり、2023 年 2 月と比較すると 18,012 件、約 30.5 % 増加しました。
メールサービスを提供している通信事業者は、DMARC ポリシーに従ったメールの配信を行うとともに、迷惑メールフィルターを利用者へ提供し、利用を促してください。
大量のフィッシングメールが届いている場合は、そのメールアドレスが漏えいしている事実を認識し、正規メールにアイコンが表示されるなどのフィッシング対策機能が強化されているメールサービスに新たにメールアドレスを作成し、オンラインサービスへ登録しているメールアドレスを切り替えていくことを検討してください。
フィッシングか否かの判断に迷う不審なメールや SMS を受け取った場合は、各サービス事業者の問い合わせ窓口やフィッシング対策協議会 (info@antiphishing.jp) まで、ご報告ください。
【報告方法】はこちら
神奈川銀行をかたるフィッシング (2023/03/06)
なりすまし送信メール対策について
フィッシングサイトの URL 件数
フィッシングに悪用されたブランド件数
総評
Amazon をかたるフィッシングの報告は報告数全体の約 22.1% となり、前月に引き続き減少傾向となっています。次いで報告が多かった
三井住友信託銀行、三井住友銀行、えきねっと、イオンカードをかたるフィッシングの報告をあわせると、全体の約 58.0 % を占めました。
また、1,000 件以上の大量の報告を受領したブランドは 16 ブランドあり、これらで全体の約 87.5 % を占めました。
分野別では、金融系 29.1 %、EC 系 約 26.5 %、クレジット・信販系 約 23.9 %、交通系 約 7.7 %、オンラインサービス系 約 5.5 % となり、金融系が急増し、クレジット・信販系は減少傾向となりました。
フィッシングに悪用されたブランドは 110 ブランドでした。クレジット・信販系 25 ブランド、金融系 20 ブランド、通信事業者・メールサービス系 15 ブランド、EC 系 9 ブランドとなり、各分野で増加傾向となりました。通信事業者をかたり E メールや管理アカウント情報の詐取を試みるフィッシングも続いており、アカウントを乗っ取られて不正なメール配信等に使われる可能性があるため、注意が必要です。
SMS から誘導されるフィッシング (スミッシング) については、前月に引き続き宅配便関連の不在通知を装う文面から Apple をかたるフィッシングサイトへ誘導するタイプの報告を多く受領しました。日本年金機構や厚生労働省、国税庁をかたり、Vプリカでの支払いを要求する画面へ誘導する SMS についても、多くの報告を受領しました。その他では Amazon、モバイルキャリア、クレジットカードブランドをかたる文面の報告を受領しました。Android スマートフォンの場合はスミッシングから不正アプリ (マルウェア等) のインストールへ誘導されることが多いため、日頃から SMS のリンクからのアプリのインストールは行わないよう、注意するとともに Google Play プロテクトや正規のウイルス対策アプリ等で不正なアプリ (マルウェア等) をインストールしていないか確認してください。
2023 年 3 月のフィッシングサイトの URL 件数は 14,343 件となり、2023 年 2 月と比較すると 4,349 件、約 43.5 % 増となり急増しました。特に CDN 事業者のサービスを悪用したフィッシングサイトへの誘導が増えており、約 24.6 % を占めました。
報告された URL 全体の TLD 別では .dev が 24.6 %、次いで .com 約 22.0 %、.cn 約 10.3 %、.top 約 10.2 %、.ly が 約 8.0 %、.monster 約 4.4 % となりました。
ある調査用メールアドレス宛に 3 月に届いたフィッシングメールのうち、約 79.8 % がメール差出人に実在するサービスのメールアドレス (ドメイン) を使用した「なりすまし」フィッシングメールであり、多い状況が続いています。
送信ドメイン認証技術 DMARC のポリシーが reject または quarantine で、フィルタリング可能な なりすましフィッシングメールは 30.3 %、DMARC ポリシーが none または DMARC 対応していないドメインのなりすましフィッシングメールは 49.5 % となり、前月に引き続き DMARC 対応が不十分なドメインの不正利用が多い状況となっています。
また独自ドメインが使われるなど、送信ドメイン認証で判別ができないフィッシングメールは約 20.2 % となりました。
調査用メールアドレスへ配信されたフィッシングメールの送信元 IP アドレスの調査では、全体の約 74.6 % が CN の通信事業者からの配信となりました。また国内通信事業者からのフィッシングメールが増加し、約 19.9 % を占めました。
3 月は金融系ブランドをかたるフィッシングが多く報告されました。DMARC 正式運用していないドメインを持つブランドを狙う傾向は続いており、利用者への注意喚起メールの文面をコピーして繰り返しフィッシングメールを送るなど、悪循環が発生しています。
利用者へメールを送信する場合は必ず DMARC で保護したドメインを使用し、ポリシーを reject にして正規メールのみが届くようにしてください。併せて「事業者のみなさまへ」を参考に、正規メールの視認性向上の対策を検討してください。
また、電気やガス料金、税金、保険料等を Vプリカで支払うよう誘導するフィッシングが増えています。プリペイドカードでの支払いを要求された場合は、正規の請求なのかを必ず確認してください。
事業者のみなさまへ
オンラインサービスを提供している事業者は DMARC でドメインを保護してください。Gmail、Yahoo! メール、Outlook、ドコモ、Apple iCloud メールなど、大手メールサービスは送信側の DMARC ポリシーに従ってなりすましメールを排除しており、一般的な消費者の約 7 割以上がカバーされていると考えられます。正規ドメインをかたって送られるなりすましフィッシングメールは、一般消費者には本物と区別ができないため被害が発生しやすくなります。
DMARC ポリシーが none のモニタリングモードでは、受信側でフィルタリングされず、効果がありません。DMARC レポートを分析し、正規メールが DMARC 検証を pass していることを確認しながら、ポリシーを quarantine または reject に変更してください。また、メール配信に使っていないドメインがある場合は、不正に利用されないよう、明示的に reject ポリシーを設定しておくことが重要です。
なりすましではない、独自ドメインで送られるフィッシングメールへの対策としては、正規メールを視認しやすくする対策が効果的です。正規メールを視認しやすくする技術およびサービスとしては Gmail や Apple iCloud メール (iOS16 で対応) で使える BIMI や Yahoo!メールブランドアイコン、ドコモメール公式アカウント等があります。ユーザー数が多いメールサービスで対応しており、一定の効果が期待できるため、これらの技術やサービスの利用も検討してください。また、ユーザーには正規メールにこれらのアイコンやマークがついていることを周知し、安全なメールサービスを利用することを啓発してください。
企業においては、メールセキュリティ製品や大手クラウドメールサービスは DMARC が利用できます。なりすまし送信によるフィッシングやマルウェア攻撃への対策の一つとして、送受信ともに DMARC 正式運用 (ポリシーを reject または quarantine に設定し、受信時はポリシーに従ってメールを排除) に移行することを検討してください。
送信ドメイン認証を運用中の注意事項としては、メール配信サービスを追加したり、ネットワーク設備を統廃合するうちに、いつのまにか DNS に登録されている設定値が不適切になっているなど、正常に機能していないケースが時々見られます。特に多いのは SPF のエラーです。SPF は DNS Lookup が 10 回という制限があり、メール配信にさまざまな外部サービスを使っている場合、SPF レコードに include 等を追加していった結果、この制限値を超えて SPF がエラーとなるケースがよく発生します。また include 先が無くなった場合にもエラーとなります。 SPF を設定している場合は正常に機能しているか、DNS への登録値が適切であるか、定期的にチェックサイトで確認したり、監視を行ってください。
利用者のみなさまへ
フィッシングサイト経由などで漏えいしてしまった携帯電話番号や個人情報をもとに、さまざまなサービスへログインしようとしたり、キャリア決済やキャッシュレス決済サービスを不正利用するケースが報告されています。身に覚えがないタイミングで認証コード通知 SMS などが届いた時は、パスワード変更したり、決済サービスの使用履歴などを確認してください。
また、普段からログインを促すようなメールや SMS を受信した際は、正規のアプリやブックマークした正規の URL からサービスへログインして情報を確認し、クレジットカード情報や携帯電話番号、認証コード、口座情報、ワンタイムパスワード等の入力を要求された場合は、入力する前に一度立ち止まり、本当に必要な手続きなのか、その入力先サイトが本物かを確認してください。特に初めて利用するサイトの場合は、運営者情報や問い合わせ先などを確認し、似たようなフィッシングや詐欺事例等がないか、確認するようにしてください。
情報提供のお願い
今月の緊急情報
https://www.antiphishing.jp/news/alert/kanagawabank_20230306.html
GMOあおぞらネット銀行をかたるフィッシング (2023/03/07)
https://www.antiphishing.jp/news/alert/gmoaozora_20230307.html
三井住友銀行をかたるフィッシング (2023/03/07)
https://www.antiphishing.jp/news/alert/smbcbank_20230307.html
えきねっとをかたるフィッシング (2023/03/08)
https://www.antiphishing.jp/news/alert/ekinet_20230308.html
ソフトバンクをかたるフィッシング (2023/03/08)
https://www.antiphishing.jp/news/alert/softbank_20230308.html
リクルートID をかたるフィッシング (2023/03/09)
https://www.antiphishing.jp/news/alert/recruit_20230309.html
ライフカードをかたるフィッシング (2023/03/10)
https://www.antiphishing.jp/news/alert/lifecard_20230309.html
佐川急便をかたるフィッシング (2023/03/15)
https://www.antiphishing.jp/news/alert/sagawa_20230315.html
広島銀行をかたるフィッシング (2023/03/17)
https://www.antiphishing.jp/news/alert/hiroshimabank_20230317.html
三井住友信託銀行をかたるフィッシング (2023/03/22)
https://www.antiphishing.jp/news/alert/smtb_20230322.html
PayPay銀行をかたるフィッシング (2023/03/23)
https://www.antiphishing.jp/news/alert/paypaybank_20230323.html
十八親和銀行をかたるフィッシング (2023/03/27)
https://www.antiphishing.jp/news/alert/18shinwabank_20230327.html
東京電力をかたるフィッシング (2023/03/28)
https://www.antiphishing.jp/news/alert/tepco_20230328.html
東京ガスをかたるフィッシング (2023/03/28)
https://www.antiphishing.jp/news/alert/tokyogas_20230328.html
関西電力をかたるフィッシング (2023/03/30)
https://www.antiphishing.jp/news/alert/kepco_20230330.html
厚生労働省をかたるフィッシング (2023/03/30)
https://www.antiphishing.jp/news/alert/mhlw_20230330.html
マイナポイント事務局をかたるフィッシング (2023/03/31)
https://www.antiphishing.jp/news/alert/myna_20230331.html
参考情報
https://www.antiphishing.jp/enterprise/domain_authentication.html